周,由中国家用电器协会主办的“2019年中国家用电器技术大会”在广东佛山开幕。
今年,大会以“智能、绿色、品质、材料”为主题,汇聚来自人工智能、5G、信息安全、智慧家居、工业设计、精益生产、材料创新等领域有深厚研究的国内外技术大咖。
作为集结产业链权威技术专家和科技工作者、呈现最新的创新成果和前沿趋势的行业顶级技术交流平台,SCA安全通信联盟创始人丁宁围绕智能家电产品出口欧盟面临的信息安全监管进行了主题演讲。
SCA安全通信联盟创始人丁宁
对于家电品牌商而言,目前面临四大挑战:已销售产品可能面临违规风险,法律合规认知需要加强,技术合规认知需要加强,合规准备需要一定时间。丁总提醒,家电企业要注意可能触及的多项技术性条款,提前做好应对,信息安全是长期的持续投入,企业要在产品设计之初就注重产品的安全性。
产业伙伴警示信息安全问题:从产业设计源头抓起
以下为丁宁演讲内容部分讲义:
分析现状——严格的立法,并带有高额罚项
丁总说,2018年5月25日,《欧盟一般数据保护法案》(General Data Protection Regulation,简称GDPR,也称作《欧盟个人隐私保护法》)正式实施。2019年6月27日《欧盟关于欧洲网络安全局以及信息通信技术网络安全认证条例》正式生效,该法案简称《网络安全法》(EU Cybersecurity Act)。
其中,GDPR规定,如企业被查出产品或服务有违反GDPR,将有可能面临高达2000万欧元或者全球销售额的4%取最高额作为罚款。截止到2019年2月(法案发布后9个月),从欧盟经济区域内的31个国家中,被报告的案例已经超过20万件,开出罚单总金额高达5600万欧元。
最明显的监管案例如:2019年7月9日,英国信息监管局ICO发布声明称,由于万豪国际集团违反欧盟GSPR,对其开出约9900万英镑(约合1.23亿美元)罚单。2018年9月,英国航空因遭到黑客攻击,导致38万用户的个人及信用卡信息遭泄露,19年7月8日表示,ICO拟对该公司罚款1.83亿英镑(约合2.3亿美元)的罚款。
监管谁?——GDPR的权利主体和义务主体
在此,丁总介绍了GDPR中数据主体的概念范畴,GDPR主要针对两类义务主体,即数据控制者(data controller)和数据处理者(data processor)。
数据控制者是指单独或者与他人一起,决定个人数据处理的目的和方式的自然人、法人、公务机关、办事机构或其他组织;数据处理者是指代表数据控制者,处理个人数据的自然人、法人、公务机关、办事机构或者其他组织。
此外,丁总还着重介绍了GDPR中关于个人数据的定义,和家电企业可能触及的技术性条款,相关条约内容附在文末,家电产业的伙伴可以学习咨询。
※个人数据的定义
GDPR保护的“个人数据”是有关已识别(identified)或可识别(identifiable)的自然人(“数据主体”)的任何信息,可识别的自然人是指能够被直接或者间接识别的人,特别是参考姓名、身份识别编号、位置数据、网络识别码等标识(identifier),或是该自然人身体、生理、基因、心理、经济、文化和社会身份等特征要素(specific factors)。
※说明:这里所知的个人数据仅限于有生命的自然人的个人数据,不包括死者、胎儿等。同时,个人数据的保护不涉及匿名信息,或者经过匿名化处理的以至于不在具有可识别性的个人数据。
可依据的国际标准和国际技术规范
关于认证标准,丁总说:ISO15408 Common Criteria 信息安全技术国际通用标准,全欧盟成员国与美国等国家共同认可。是国内外各大安全芯片公司,安全系统公司,安全硬件产品等,进入海外市场均使用此技术认证证明自身产品或者服务的安全性。就在2019年9月,华为的产品刚拿到CC EAL5+的认证。
家电产品依据的国际技术规范
由SCA牵头,联合德国国家信息安全实验室TUViT及国内、国际9家信息安全领先技术机构联合制定,2019年正式完成。另外相关国际标准和国际技术规范还有:
ISO15408体系下的《IoT Secure Communications Module Protection Profile》(物联网安全通信模块国际技术规范)。
ISO15408体系下的《IoT Secure Element Protection Profile》(物联网安全芯片国际技术规范)。
家电品牌商面临的挑战
分析市场现状,结合法律依据,丁总认为,现状家电品牌商主要面临四方面的挑战,首次是,已销售产品可能面临违规风险;其次是,法律合规认知需要加强;然后是,技术合规认知需要加强;最后还有,合规准备需要一定时间。
在此SCA能帮大家做的就是协助家电品牌商:实现信息安全技术合规和信息安全国内、国际认证。内容包括:
国内网络安全等级保护咨询培训,国际CC信息安全技术标准认证咨询培训,欧盟GPDR技术合规性咨询培训,美国个人隐私数据保护技术合规,家电产品国内、国际信息安全技术合规咨询培训。
最后,丁总表示非常期待在家电协会的带领下,家电行业能够更好的走出国门,迎接更大的发展空间。SCA愿与众家电企业一起在法的保护下开拓进取,迈出国门!
PS:关于SCA专业信息安全技术咨询与培训机构
Secure Communications Alliance 简称SCA,中文:安全通信联盟,全球首个物联网信息安全国际技术规范(ISO15408-Secure Communication Module & Secure Element Protection Profile)牵头制定方;公安部eID工作组秘书处;公安部第三研究所合作伙伴;国际顶级信息安全测评机构、德国信息安全联邦办公室BSI下属的德国国家信息安全实验室TüViT(TüV NORD集团子公司,已有150年历史)大中华区合作伙伴;上海经信委直属上海大数据交易中心“数据流通个人信息保护最佳实践”(个人数据保护技术规范)制定方。
附:
家电企业有可能触及的技术性条款
(部分法规)GDPR第六条 处理的合法性
处理应至少符合下列条件之一方属合法:
(a)数据主体已同意为一个或多个特定目的而处理其个人数据;
(b)处理时为履行数据主体为一方当事人的合同所必需,或在订立合同前应数据主体的要求采取措施所必需;
(c)处理是数据控制者为遵守一项法定义务所必需;
(d)处理是为保护数据主体或另一自然人的重大利益所必需;
(e)处理对为公共利益执行职务或数据控制者受托行使公权力所必需;
(f)处理是为数据控制者或第三方追求正当利益的目的所必需,需要个人数据保护的数据主体的利益或基本权利和自由显著优先于该利益的除外,特别是数据主体为儿童时。
GDPR第二章,第五条,第f款
以确保个人数据适当安全性的方式进行处理,包括采用适当的技术性和组织性措施以防止未经授权或非法的处理,以及意外遗失、破坏和损坏(“完整性和保密性”原则)
第四章第二节:个人数据安全
第32条:处理安全
考量现有技术,实施的成本和处理的性质、范围、背景和目的以及给自然人的权利和自由带来的不同可能性和严重程度的风险,数据控制者、数据处理者应当采取适当技术性和组织性措施以保证应对风险的适当安全水平,酌情考量包括但不限于以下的因素:
(a)个人数据的匿名化和加密;
(b)保证处理系统和服务持续保密、完整、可用和自我修复的能力;
(c)在发生物理性或技术性事故的情况下及时恢复个人数据的可用性和防伪的能力;
(d)定期测试、评价和评估确保处理过程安全的技术性和组织性措施的有效性。
※“匿名化”的定义
“匿名化”是指一种使个人数据在不利用额外信息的情况下无法指向特定数据主体个人的数据处理方式,且该额外信息应当被分别储存,并以技术性和组织性措施确保该个人数据无法指向某个已识别或可识别的自然人。
第二十五条 设计和默认数据保护
1. 考量现有技术,实施的成本和处理的性质、范围、背景和目的以及给自然人的权利和自由带来的不同可能性和严重程度的风险,数据控制者应当在决定处理方法和在进行处理时,以有效的方式采取适当技术性和组织性措施,如匿名化,其目的是实现数据保护原则,如数据最少化,并将必要的信息安全保护措施纳入处理过程,以符合本条例要求并保护数据主体的权利。
2. 数据控制者应当采取适当技术性和组织性措施以确保,在默认情况下仅处理对各个特定处理目的必需的个人数据。该义务是用于所收集的个人数据的数量、处理程度、储存期间和可访问性。特别是,这些措施应确保在默认情形下,个人数据不经人为干预无法被不特定多数自然人访问。
GDPR第四十二条 认证
欧盟成员国、监管机关、数据保护委员会和欧盟委员会应当,特别是在欧盟层面,对数据保护认证机制以及数据保护标章和标志的建立予以鼓励,该类认证以及标章和标志是为了证明数据控制者和数据处理者的处理行为符合本条例。
